IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

Sécurité Discussion :

Les entreprises utilisant les SMS pour se connecter sont responsables des attaques par substitution


Sujet :

Sécurité

  1. #1
    Communiqués de presse

    Femme Profil pro
    Traductrice Technique
    Inscrit en
    June 2023
    Messages
    764
    Détails du profil
    Informations personnelles :
    Sexe : Femme
    Localisation : France

    Informations professionnelles :
    Activité : Traductrice Technique

    Informations forums :
    Inscription : June 2023
    Messages : 764
    Points : 54 118
    Points
    54 118
    Par défaut Les entreprises utilisant les SMS pour se connecter sont responsables des attaques par substitution
    Les entreprises utilisant les SMS pour se connecter à leur compte, comme Apple, Dropbox, PayPal, Block, Google, devraient être tenues responsables des attaques par substitution de carte SIM.

    Selon Spencer Dailey, éditeur à Techmeme, les entreprises qui utilisent les SMS pour se connecter à leur compte devraient être blâmées pour les attaques par substitution de carte SIM. Voici son avis sur le sujet.

    Les attaques par échange de cartes SIM se poursuivent année après année parce que des entreprises (qui savent mieux que quiconque) ont adopté l'idée horrible d'utiliser les SMS pour réinitialiser les mots de passe et se connecter à des comptes. Parmi ces entreprises figurent Apple, Dropbox, PayPal, Block, Google et bien d'autres.

    Qu'est-ce qu'une attaque par substitution de carte SIM ? Il s'agit d'une attaque par laquelle un malfaiteur demande à un opérateur de transférer votre numéro de téléphone portable sur son propre téléphone. (Les opérateurs sont tenus de porter votre numéro facilement en raison des lois pro-concurrence en vigueur aux États-Unis). Ensuite, l'escroc déclenche et reçoit des informations de connexion à un compte par SMS de la part des entreprises et procède au vol de l'argent et des informations sensibles de la victime. Cela arrive tout le temps... Voici quelques-uns des cas les plus médiatisés :

    Nom : 1.png
Affichages : 70592
Taille : 967,5 Ko

    Existe-t-il un moyen d'empêcher les attaques par échange de cartes SIM ? Oui, c'est simple : Les entreprises NE DOIVENT PAS LAISSER LE CLIENT SE CONNECTER par SMS, ni autoriser la réinitialisation du mot de passe par SMS. Si le 2FA par SMS est proposé, ce ne doit être que s'il existe des options plus sûres comme Authy ou Google Authenticator (et le SMS ne doit jamais servir de solution de secours pour la récupération d'un compte).

    Pendant de nombreuses années, les acteurs du secteur ont invariablement dit quelque chose comme : "Eh bien... offrir une authentification par SMS est mieux *globalement* pour la sécurité des clients, en raison de sa commodité (malgré ses défauts) par rapport à d'autres méthodes" (comme l'utilisation beaucoup plus sûre de l'e-mail pour la vérification). À cela, je réponds "Qui êtes-vous pour priver vos clients de sécurité ?" La défense contre les attaques ciblées doit faire partie intégrante du dispositif de défense de toute entreprise. Il est tellement arrogant de dire le contraire, et cela me fait bouillir le sang, vraiment. Proposer des connexions par SMS est une mauvaise idée, qui n'a jamais eu la moindre chance d'être une bonne idée.

    Envoyer un SMS à un client, c'est comme envoyer une carte postale par la poste. Il s'agit d'un texte en clair (non crypté), et n'importe qui peut ouvrir votre boîte aux lettres et l'intercepter/le lire (ce qui se produit lors d'une attaque par substitution de carte SIM). Le protocole n'a jamais été conçu pour être sécurisé.

    Le SMS est-il la meilleure option pour la réinitialisation des mots de passe ? NON ! La réinitialisation des mots de passe par e-mail est bien plus sûre. Le SMS est-il une bonne option pour le 2FA ? Non ! Des applications comme Authy ou l'utilisation de l'e-mail sont préférables. Est-ce que le fait de connecter votre client par SMS est acceptable ? Non ! [Après avoir lu les commentaires de Hacker News, permettez-moi d'être clair - je ne parle pas seulement du 2FA par SMS, en fait je parle surtout de l'omniprésence de la réinitialisation des mots de passe par SMS, de l'intégration des utilisateurs et de la récupération des comptes. Tous ces éléments sont plus ou moins faibles. Le 2FA par SMS est, lorsqu'il est proposé en option avec un 2FA plus fort, le moins mauvais des scénarios de sécurité faible, mais ce n'est pas l'objet de cet article].

    Une grande partie de l'ire suscitée par les attaques par substitution de carte SIM a, à juste titre, été dirigée contre les opérateurs. En effet, ces derniers font un travail terrible pour sécuriser les numéros de téléphone de leurs clients et peuvent être tenus pour responsables de cette lacune. Mais le fait est que la sécurité des opérateurs a toujours été mauvaise, qu'elle a même été rendue mauvaise par la loi, et que d'autres entreprises ont quand même choisi de construire des systèmes critiques sur la base de ce maillon faible.

    Malgré sa banalisation, il est important de rappeler que l'intégration des SMS dans les flux d'authentification a été un choix terrible et peu perspicace de la part des entreprises. Malgré une sécurité médiocre, les SMS offrent un moyen presque sans friction d'inscrire de nouveaux clients (pensez à l'onboarding d'Uber) et de gérer les réinitialisations de mot de passe, et les entreprises ont estimé qu'elles devaient s'aligner sur l'adoption de cette technique par leurs concurrents. Elles ont creusé le trou, nous y ont poussés et doivent maintenant nous en faire sortir.

    Les entreprises adoptent la perspective naïve que, d'une manière ou d'une autre, les escrocs ne feront pas assez d'efforts pour échanger des individus contre des SIM. Il est clair que les criminels le feront, allant même jusqu'à se faire passer pour des clients dans les magasins. Il est temps pour eux de mettre fin à cette expérience. Elle a échoué.

    Et je suis désolé, mais après près d'une décennie, nous pouvons l'affirmer : les efforts visant à renforcer les protocoles de téléphonie comme SHAKEN/STIR n'aboutiront jamais. Si la volonté avait existé dans l'industrie, cela se serait produit il y a 5 ans. Les promesses d'amélioration des protocoles n'ont jamais été (et ne sont certainement pas aujourd'hui) une excuse satisfaisante pour continuer à envoyer des codes de réinitialisation de mot de passe par SMS. De même, un protocole renforcé n'empêcherait même pas les attaques par échange de cartes SIM. Des personnes sont lésées jour après jour, tandis que l'industrie reste dans l'équivoque. [L'initiative "Sim Verify" de l'Union européenne vaut la peine d'être examinée].

    Si les attaques par échange de cartes SIM sont courantes et font la une des journaux, les SMS sont également vulnérables aux attaques de type "man-in-the-middle". Celles-ci sont probablement menées fréquemment par des États-nations. Le fait que les États-nations puissent abuser de la vérification des SMS peut même expliquer une partie de l'inertie générale qui permet à un système défectueux de perdurer.

    Si j'ai l'air de m'enflammer, c'est parce que cela fait plus de sept ans que j'insiste sur ce point. D'autres ont écrit sur le sujet il y a des années, et pourtant les attaques par échange de cartes SIM se poursuivent sans relâche. Je suis frustré parce que beaucoup de ces entreprises se targuent d'accorder la priorité à la sécurité de leurs clients. Je suis en colère parce que, parmi tous les problèmes insolubles auxquels la technologie est confrontée aujourd'hui, comme les deepfakes (y compris les deepfakes audio dont j'ai parlé ici) et la désinformation, celui-ci est l'un de ceux qui peuvent être résolus, et pourtant rien (de concret) n'est fait. Nous avons besoin d'une victoire, et en voici une à prendre !

    Je le répète : si une personne quelconque convainc T-Mobile, AT&T, Verizon, etc. de porter mon numéro, MA SÉCURITÉ NUMÉRIQUE NE DEVRAIT PAS ÊTRE PORTÉE AUSSI.

    Comment les entreprises ont adopté cette technologie défaillante

    Apple :

    Apple a contribué à sceller le rôle des SMS dans les réinitialisations de mots de passe et les connexions de comptes via sa fonctionnalité de clavier annoncée en 2018 : Remplir automatiquement les codes de passe SMS sur l'iPhone . Cela permet également des scénarios où les SMS peuvent être utilisés pour réinitialiser votre compte Apple.

    Google :

    En 2019, Google a suivi la mauvaise idée d'Apple avec la même chose pour Android, le remplissage automatique par SMS pour les codes à usage unique.

    Fournisseurs de cloud comme Twilio/Amazon/Microsoft/Google, etc :

    Il existe un vaste complexe industriel derrière les codes SMS. De nombreuses entreprises sont incitées à faire des bénéfices pour continuer à offrir des codes SMS à usage unique à leurs clients. Azure, AWS, Twilio, Google, etc. La vente de ces services est contraire à l'éthique. Il s'agit d'une technologie fondamentalement défaillante, vendue comme une solution sécurisée.

    Services de gestion de l'argent

    Aussi incroyable que cela puisse paraître, la fonctionnalité de réinitialisation par SMS et de connexion à un compte est totalement omniprésente, même lorsqu'il s'agit de votre argent, de même que le 2FA par SMS et la récupération de compte : Wells Fargo, Cash App (Block), Robinhood, Schwab, Paypal, Bank of America, etc. Encore une fois, il s'agit d'options SMS proposées pour "vérifier qu'il s'agit bien de vous", ce que les escrocs qui échangent des cartes SIM adorent entendre. De plus, ne changez jamais votre numéro de téléphone par inadvertance, vous serez bloqué sur votre PayPal !

    Pratiquement toutes les autres entreprises à l'heure actuelle :

    Des services de commande de nourriture aux réseaux sociaux, en passant par les entreprises de stockage de données comme Dropbox, les SMS sont malheureusement, par défaut, un moyen de réinitialiser votre compte. S'il existe un moyen de le désactiver, c'est à vous, l'utilisateur, qu'il incombe de vous inscrire et de vous désinscrire - service par service - et de désactiver cette technologie pourrie. De nombreux services ne proposent pas d'option de désactivation.

    Les clients pensent qu'ils aiment les options de réinitialisation par SMS

    Les clients ne comprennent pas que les réinitialisations par SMS ne sont pas efficaces. Ce n'est pas leur rôle. Ils apprécient le fait que c'est plus pratique que les réinitialisations par e-mail (une option réellement sécurisée) ou les codes de connexion 2FA via des applications 2FA comme Authy. Le remplissage automatique par SMS de l'iPhone est souvent présenté (de manière douteuse) comme la meilleure chose d'iOS. Le problème est le suivant : ce n'est pas au client de comprendre si les systèmes sont sécurisés, c'est aux entreprises technologiques de le faire.

    Et les entreprises technologiques ont échoué, laissant tous leurs clients exposés dans le processus.

    Il faut espérer qu'une combinaison de procès et de législation finira par changer le statu quo. En attendant, les entreprises doivent faire preuve de courage et reconnaître la situation pour ce qu'elle est : un spectacle affreux. Et revenir sur leur soutien aux services de vérification par SMS.

    Source : Spencer Dailey

    Et vous ?

    Pensez-vous que son avis est crédible ou pertinent ?
    Quel est votre avis sur le sujet ?

    Voir aussi :

    Sécurité : Apple veut normaliser le format des SMS contenant des codes d'accès à usage unique (OTP), pour automatiser le processus de réception et de saisie via un navigateur ou une appli

    L'authentification à deux facteurs par SMS : une passoire, à cause des failles du protocole de signalisation réseau SS7

    Microsoft estime que l'utilisation de l'authentification multifacteur bloque 99,9% des piratages de comptes et encourage les utilisateurs à l'adopter
    Publication de communiqués de presse en informatique. Contribuez au club : corrections, suggestions, critiques, ... Contactez le service news et Rédigez des actualités

  2. #2
    Membre extrêmement actif
    Homme Profil pro
    Graphic Programmer
    Inscrit en
    March 2006
    Messages
    1 525
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Paris (Île de France)

    Informations professionnelles :
    Activité : Graphic Programmer
    Secteur : High Tech - Multimédia et Internet

    Informations forums :
    Inscription : March 2006
    Messages : 1 525
    Points : 3 859
    Points
    3 859
    Par défaut
    de toute facon toutes les alternative au bon vieux mots de passe ( hors cles) sont un affaiblissement de la securité.

    le apple face id est une blague securitaire hein. c'est technologique, le apple fan boy est en extase devant mais tu dois pouvoir deverouiller le tel avec une photos du mec....

    le id de windows 11, ou comment remplacer une mot de passe par un code pin a 4 chiffres, alors que le plus sure est la phrase bateaux de 5-6 mots..

    je me suis toujours demandé pourquoi il faisaient ca...

  3. #3
    Membre chevronné

    Profil pro
    Chef de Projet / Développeur
    Inscrit en
    June 2002
    Messages
    593
    Détails du profil
    Informations personnelles :
    Localisation : France, Loire Atlantique (Pays de la Loire)

    Informations professionnelles :
    Activité : Chef de Projet / Développeur
    Secteur : Santé

    Informations forums :
    Inscription : June 2002
    Messages : 593
    Points : 1 998
    Points
    1 998
    Par défaut
    Citation Envoyé par Aiekick Voir le message
    le id de windows 11, ou comment remplacer une mot de passe par un code pin a 4 chiffres, alors que le plus sure est la phrase bateaux de 5-6 mots...
    Dans ce cas, en cas d'erreur, le système rebascule vite sur le mot de passe complexe - ce qui interdit la force brut sur ce code pin.
    Je trouve ce système pas si mal : on a la sécurité d'un mot de passe complexe, sans avoir la complexité à le saisir à tout bout de champ.

    Pour le reste, je trouve que la responsabilité revient surtout aux compagnies téléphoniques : pouvoir demander une nouvelle carte sim, envoyé à une adresse qui n'est pas celle jusqu'ici connue du précédent opérateur est une absurdité.
    Comment est-il possible que n'importe qui puissent vous voler votre numéro de téléphone par simple demande !?
    --
    vanquish

  4. #4
    Membre extrêmement actif
    Homme Profil pro
    Développeur informatique
    Inscrit en
    October 2017
    Messages
    1 734
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Suisse

    Informations professionnelles :
    Activité : Développeur informatique

    Informations forums :
    Inscription : October 2017
    Messages : 1 734
    Points : 5 619
    Points
    5 619
    Par défaut
    Vu que certains veulent remplacer le mot-de-passe par la reconnaissance faciale, est-ce que prochainement les personnes hackées seront responsables d'avoir une gueule falsifiable?

  5. #5
    Membre habitué
    Profil pro
    Inscrit en
    May 2010
    Messages
    200
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : May 2010
    Messages : 200
    Points : 149
    Points
    149
    Par défaut
    Citation Envoyé par vanquish Voir le message
    Dans ce cas, en cas d'erreur, le système rebascule vite sur le mot de passe complexe - ce qui interdit la force brut sur ce code pin.
    Je trouve ce système pas si mal : on a la sécurité d'un mot de passe complexe, sans avoir la complexité à le saisir à tout bout de champ.
    Cela dépend de la situation. Pour ma part, je suis souvent en déplacement, et donc je saisie régulièrement mon mot de passe devant des personnes que je ne connais pas toujours. Je trouve qu'un code à 4 chiffres est facilement repérable. Je préfère de loin mon mot de passe - que mes doigts connaissent par coeur. Et là, bon courage pour tout repérer. Ce n'est pas impossible, mais c'est largement plus difficile. Aussi cela n'évite pas le vol prémédité, mais dissuade la curiosité mal placée.

  6. #6
    Membre éprouvé

    Homme Profil pro
    Ingénieur logiciel embarqué
    Inscrit en
    July 2002
    Messages
    386
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France

    Informations professionnelles :
    Activité : Ingénieur logiciel embarqué
    Secteur : Aéronautique - Marine - Espace - Armement

    Informations forums :
    Inscription : July 2002
    Messages : 386
    Points : 1 163
    Points
    1 163
    Par défaut
    Pensez-vous que son avis est crédible ou pertinent ?
    Probablement pour l’Amérique, peut être moins en Europe ...
    Mais effetivement le mail (sous réserve qui ne soit pas compromis) me parait plus robuste.

    Quel est votre avis sur le sujet ?
    En tant client je trouve cette pratique contraignante: je change de parfois de numéros et je n'ai pas toujours mon tel avec moi.
    J'avoue que l'email je trouve ca plus pratique. Mais on ne m'a jamais demander mon avis de client.

    J'ai dernièrement changé de numéros et hérité du numéros dont l'ancien propriétaire était a la banque postal, entre les texto de pub et les appel de démarchage,
    en une semaine sans rien demander, j'avais son nom son prénom, sa région, ...
    J'ai également obtenu son nouveau numéro de tel car cette personne ne pouvais plus accéder a ses comptes en raison ... de la double auth
    et elle me demandais de lui faire suivre les sms de sa banque.
    en lui ai conseiller d’aller voir sa banque pour leur explique la situation et que "non ne n'allais pas luis transférer les texto d'identification".

    Cette petite anecdote est édifiante a mon sens sur les problèmes inhérent a la pratique de l’authentification par sms.

  7. #7
    Membre chevronné

    Profil pro
    Chef de Projet / Développeur
    Inscrit en
    June 2002
    Messages
    593
    Détails du profil
    Informations personnelles :
    Localisation : France, Loire Atlantique (Pays de la Loire)

    Informations professionnelles :
    Activité : Chef de Projet / Développeur
    Secteur : Santé

    Informations forums :
    Inscription : June 2002
    Messages : 593
    Points : 1 998
    Points
    1 998
    Par défaut
    Citation Envoyé par tepaze Voir le message
    Cela dépend de la situation. Pour ma part, je suis souvent en déplacement, et donc je saisie régulièrement mon mot de passe devant des personnes que je ne connais pas toujours. Je trouve qu'un code à 4 chiffres est facilement repérable. Je préfère de loin mon mot de passe - que mes doigts connaissent par coeur. Et là, bon courage pour tout repérer. Ce n'est pas impossible, mais c'est largement plus difficile. Aussi cela n'évite pas le vol prémédité, mais dissuade la curiosité mal placée.
    Je n'avais pas pensé à ce genre de situation, mais en un clic sous la zone de saisie, on choisi son mode de connexion.
    Quoiqu'il en soit, on a le choix : ce n'est donc pas une mauvaise chose en soit.
    --
    vanquish

  8. #8
    Nouveau Candidat au Club
    Homme Profil pro
    Administrateur de base de données
    Inscrit en
    August 2020
    Messages
    1
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Vaucluse (Provence Alpes Côte d'Azur)

    Informations professionnelles :
    Activité : Administrateur de base de données

    Informations forums :
    Inscription : August 2020
    Messages : 1
    Points : 1
    Points
    1
    Par défaut
    Pour ma part j'observe que de plus en plus de service développe des alternatives au vérification par SMS. Notamment le système de confirmation par un appareil déjà authentifié comme le fait WhatsApp ou même ma banque . Ensuite pour les système ultra sensible (ex banque ) si pas d'appareil c'est une vérification multiple ou le SMS se représente qu'une étape et en soit le seul SMS ne permet pas la connexion . Ex : mot de passe + SMS + MAIL + Questions secrète . Ce genre de solution me rassure plus .

    Autre chose : comment renforcer la sécurisation d'un changement de SIM auprès des opérateurs? de mon expérience cela me semble assez securise en tout cas en France car c'est un envoi par la poste a ton adresse et tu dois ensuite l'activer avec ton mot de passe a réception Sinon c'est en retrait au magazin et la c'est contre la remise d'une pièce d'identité. C'est peu être sur la dernière méthode qu'il existe un vrai risque de fraude car un imposteur avec une fausse pièce d'identité peu duper l'employé...

    Sinon merci pour cet article car je vais faire une revue de tous les services ou le SMS est le seule moyen de deuxième authentification et je vais de se pas la désactiver.

Discussions similaires

  1. Réponses: 0
    Dernier message: 27/08/2023, 23h23
  2. Probleme avec les librairies pour se connecter a hive avec python
    Par ghizlanehrk dans le forum Déploiement/Installation
    Réponses: 6
    Dernier message: 12/07/2018, 21h43
  3. Réponses: 4
    Dernier message: 28/12/2008, 02h07
  4. Utiliser Active Directory pour se connecter
    Par Cerberes dans le forum Connexions aux bases de données
    Réponses: 5
    Dernier message: 30/11/2007, 12h40
  5. Réponses: 1
    Dernier message: 12/07/2007, 09h15

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo